Программа-вымогатель Hive выходит в высшую лигу: за четыре месяца были взломаны сотни

4
Как показать скрытые файлы и папки в Windows 10

Банда программ-вымогателей Hive более активна и агрессивна, чем показывает ее сайт утечки: с тех пор, как об операции стало известно в конце июня, ее филиалы атаковали в среднем три компании каждый день.

Исследователи безопасности, собравшие информацию прямо из административной панели Hive, обнаружили, что за четыре месяца филиалы взломали более 350 организаций.

На сайте утечки данных банды в настоящее время перечислено только 55 компаний, которые не заплатили выкуп, что позволяет предположить, что выкуп заплатило большое количество жертв вымогателей Hive.

По самым скромным подсчетам, только с октября по ноябрь прибыль банды вымогателей Hive составила миллионы долларов США.

Партнёры по набору персонала

В конце июня появилась программа-вымогатель Hive, нацеленная на компании из различных секторов. Хотя большинство неоплачиваемых жертв на их сайтах утечки — это представители малого и среднего бизнеса, банда также публиковала файлы более крупных компаний с доходами, которые оцениваются в сотни миллионов.

Источник сообщил, что вымогатель Hive также стоит за недавней атакой на Отделение законодательных автоматизированных систем Вирджинии (DLAS). Однако нам не удалось самостоятельно проверить информацию.

Аналитики компании по кибербезопасности Group-IB, расследующие операцию Hive ransomware-as-a-service (RaaS), обнаружили, что эта группа является «одной из самых агрессивных»: к 16 октября ее дочерние компании поразили не менее 355 компаний.

Первое публично известное нападение этой банды произошло 23 июня на канадскую IT-компанию Altus Group. В то время было неясно, является ли Hive операцией RaaS, открытой для других киберпреступников.

Все стало ясно в начале сентября, когда группа через пользователя, известного как «kkk», ответила в ветке «авторитетных» программ-вымогателей, что они ищут партнеров, которые уже имеют доступ к сетям компании.

В сообщении также содержится подробная информация о разделе выкупа: 80% для аффилированных лиц, 20% для разработчиков.

Тот же пользователь также предоставил техническую информацию о вредоносной программе для шифрования файлов в самоуничтожающейся записке, полученной исследователями Group-IB.

Хотя «kkk» не назвал RaaS, который они представляли, исследователи говорят, что предоставленные технические детали ясно дали понять, что злоумышленник имел в виду программу-вымогатель Hive.

За шторами от программ-вымогателей Улья

Group-IB получила доступ к административной панели программы-вымогателя Hive и приступила к сбору информации об операции и о том, как она работает.

Похоже, что разработчики настроили все, чтобы сделать развертывание программ-вымогателей и переговоры с жертвами максимально легкими и прозрачными.

Филиалы могут сгенерировать версию вредоносного ПО в течение 15 минут, а переговоры ведутся через администраторов программ-вымогателей Hive, которые передают сообщение жертве в окне чата, также видимом для аффилированных лиц.

Хотя программное обеспечение для дешифрования предоставляется после уплаты выкупа, некоторые компании жаловались, что инструмент не работает должным образом и повредил главную загрузочную запись виртуальных машин, что сделало их незагружаемыми.

В отчете, представленном, Group-IB отмечает, что панель администрирования программ-вымогателей Hive показывает аффилированным лицам, сколько денег они заработали, компании, которые заплатили, и те, у которых произошла утечка данных, и позволяет им хранить профили целевых предприятий.

Исследователи обнаружили, что все аффилированные лица имеют доступ к идентификаторам компаний в базе данных вымогателей Hive, что довольно необычно.

Кроме того, административные панели и сайт утечки работают через API (интерфейс прикладного программирования), который, по словам Group-IB, был замечен только с двумя другими группами вымогателей: Grief и DoppelPaymer.

Присмотревшись к API, исследователи обнаружили ошибку, которая позволила им собрать информацию обо всех атаках программ-вымогателей Hive, что также позволило им оценить, сколько компаний заплатили этим злоумышленникам.

По их оценке, к 16 октября злоумышленник поразил 355 организаций; 104 жертвы вели переговоры с нападавшими.

«Согласно анализу данных компании, полученных через API, менее чем за месяц количество жертв выросло на 72%. 16 сентября общее количество записей, относящихся к компаниям-жертвам, составило 181. Всего через месяц, 16 октября, их количество увеличилось до 312. Примечательно, что 43 компании, указанные в качестве потерпевших в сентябре, исчезли из API в октябре, скорее всего, после оплаты выкуп »- Group-IB

Что касается денег, вымогаемых у жертв, Group-IB сообщила, что, по их оценкам, банда заработала не менее 6,5 миллионов долларов с октября по ноябрь.

Исследование Group-IB в сфере программ-вымогателей, недавно опубликованное в недавнем отчете компании под названием «Корпорация: угроза номер один», показывает, что около 30% жертв предпочитают платить злоумышленнику.

Несмотря на то, что программа-вымогатель Hive более активна, чем предполагалось изначально, она полагается на распространенные начальные методы взлома, в том числе следующие:

  • уязвимые серверы RDP
  • скомпрометированные учетные данные VPN
  • фишинговые письма с вредоносными вложениями

Злоумышленники также развертывают этап шифрования атаки в нерабочее время или в выходные дни, что типично для большинства атак программ-вымогателей.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии